%20%EC%82%AC%EC%9A%A9%EC%9E%90%EB%A5%BC%20%EC%9E%A0%EA%B7%B8%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
우리는 이를 관리하기 위해 Windows Embedded Standard 7과 SCCM 2012 R2 서버를 실행하는 씬 클라이언트를 많이 보유하고 있습니다. 씬 클라이언트에는 쓰기 필터가 활성화되어 있으므로(FBWF) 시스템 변경 사항이 지속되지 않습니다. 드물게 무언가를 업데이트해야 하는 경우 SCCM을 통해 배포하면 자동으로 쓰기 필터를 껐다가 다시 켜서 변경 사항을 커밋합니다.
다음은 무엇입니까?~해야 한다일어나다:
SCCM 클라이언트는 사용자에게 알림을 보내고 작업을 저장하고 시스템을 종료할 수 있도록 30분 카운트다운을 제공합니다. 그런 다음 씬 클라이언트가 재부팅되고 쓰기 필터가 비활성화됩니다. 로그온 화면에는 자물쇠가 표시되고 장치가 서비스되고 있음을 알리며 SCCM이 작업을 수행하는 동안 일반(관리자가 아닌) 사용자는 로그온할 수 없습니다. SCCM이 완료되면 쓰기 필터를 다시 활성화하고 재부팅한 다음 사용자가 다시 로그인할 수 있습니다.
내가 겪고 있는 문제는 근접 카드 리더를 사용하여 시스템에 로그인한다는 것입니다. 직원은 비밀번호를 입력하지 않습니다. 배지를 탭하기만 하면 됩니다. 이 시스템은 훌륭하지만 이를 실행하는 소프트웨어로 인해 Windows Embedded의 쓰기 필터 자동화가 중단됩니다.
다음은 무엇입니까?실제로발생:
SCCM 클라이언트는 쓰기 필터를 끄고 재부팅하기 전에 일반적으로 15분 전에 알림을 보냅니다. 재부팅하면,정상로그인 화면이 표시됩니다. 사용자는 SCCM이 소프트웨어를 설치하는 동안 시스템에 로그인하여 사용할 수 있습니다. 그리고 사용자 세션이 활성 상태이기 때문에 쓰기 필터를 다시 켜고 재부팅하기 전에 다시 30분 알림을 제공합니다.
이 시나리오에서는 배포 시간이 30분 더 추가될 뿐만 아니라 일반 사용자에게 씬 클라이언트에서 30~60분의 보호되지 않은 시간을 제공합니다. 변경 사항이 있으면 이미지에 영구적으로 구워집니다. 쓰기 필터가 다시 켜집니다.
이 문제는 Windows Embedded 7이 일반 Windows 7과 다른 자격 증명 공급자(GINA)를 사용하지만 SSO 제품이 작동하려면 Windows 자격 증명 공급자를 대체해야 한다는 사실에서 비롯됩니다. 이에 대해 공급업체에 문의했지만 알려진 문제이며 해결 방법이나 해결 방법이 없다고 합니다.
내 질문은 다음과 같습니다.
원하는 동작을 다른 방법으로 시뮬레이션하려면 어떻게 해야 합니까? 특정 사용자 그룹에 대한 로컬 로그온을 거부할 수 있는 그룹 정책 설정이 있다는 것을 알고 있습니다. 설치 전후에 해당 레지스트리 설정을 바꿀 수 있다고 생각했지만 다른 아이디어도 가능합니다.
필요한 경우 설치 스크립팅을 수행하지 않습니다. 저는 스크립팅, PowerShell, VBScript 등에 능숙합니다. 누군가 이 문제를 해결하는 방법에 대한 좋은 아이디어가 있는지 궁금합니다.
업데이트:
나는 이러한 장치가 병원 환경에서 직원이 환자 차트를 작성하는 데 사용되고 있다는 사실을 간과했습니다. 하루 24시간 사용할 수 있어야 하므로 로그온 시간을 제한하거나 유지 관리 기간을 구성할 수 없습니다. 우리는 교대 감독자에게 사전 통지를 하여 가동 중지 시간을 관리하지만, 1시간 이상 걸리는 모든 작업은 법적 준수 문제가 되며 공식적인 가동 중지 시간 절차를 시행해야 합니다.
답변1
시작하기 전에 나는 당신 자신보다 일반 독자들의 이익을 위해 현학적인 요점을 말하고 싶습니다.
SCCM을 통해 푸시하면 됩니다.
SCCM은 풀 기반 기술입니다. 무슨 뜻인지 알지만 1등급 직원들과 함께 SCCM이 푸시 기반 기술이 아니라는 점을 강조할 때마다 그들이 SCCM을 더 빨리 이해하는 데 도움이 된다는 것을 알았습니다.
이에 대해 공급업체에 문의했지만 알려진 문제이며 수정사항이나 해결 방법이 없다고 합니다.
이 문제의 원인이 내장된 카드 인증 프로그램인 것 같아서 안타깝습니다. 공급업체에 계속 문의하면 실제로 소프트웨어를 고칠 수도 있습니다.
실제 답변을 드리자면, 몇 가지 가능한 해결책이 있습니다. 그중 특별히 좋은 해결책은 없습니다.
- 쓰기 필터에서 클라이언트를 제거하기 위한 최초 재부팅, 실제 페이로드 및 그에 따른 재부팅이 모두 직원이 터미널에 없는 근무 시간 외 시간에 발생하도록 이러한 클라이언트에 대한 유지 관리 기간을 구성합니다. 이것은 가장 덜 고통스러운 선택인 것 같습니다. SCCM을 기존보다 더 복잡하게 만들 필요가 없습니다.
- 만들기로컬 그룹 정책로그온 거부 사용자 권한에 보안 그룹을 추가한 다음 이를 응용 프로그램 배포의 일부로 할당/할당 취소하는 템플릿입니다.
- PowerShell을 사용하여 로그온 거부 사용자 권한을 설정합니다. 나는 믿는다PowerShell 커뮤니티 확장(PSCX)
Set/Get-Privileges사용자 권한 할당을 조작할 수 있는 cmdlet이 있습니다. - 원하는 경우 API를 사용할 수 있습니다. 여기에예.
답변2
이 문제를 처리하기 위해 작업 순서를 사용할 가능성에 대해 아무도 언급하지 않은 것 같으므로 이점을 나열하겠습니다(일반적으로 익숙하지 않다고 가정하고 익숙하더라도 읽어보시기 바랍니다).
설치 및 구성한 모든 항목이 SCCM을 통해 처리되는 경우 작업 순서를 사용하여 이를 수행할 수 있습니다. 주로 OSD의 경우 TS를 사용하는 것은 불가능합니다.오직OSD용으로 다음과 같은 이점을 제공할 수 있습니다.
워크스테이션에 로그인하지 않음
TS는 winlogon.exe가 실행되기 전에 실행되므로 로그온 창이 없기 때문에 사용자가 실수로 로그온할 가능성이 없습니다. 두 번째 요점은 다음과 같습니다.
사용자 정의 배경 화면
유지 관리가 수행 중이라는 스플래시 화면이나 실제로 말하고 싶은 내용을 제공할 수 있습니다.
TS는 사실 미화된 스크립트일 뿐이지만 기능이 많고 개발 시간을 단축하는 방식으로 구성되어 있으며 OSD 이외의 사용 사례도 발견했습니다.
필요한 작업을 수행하기 위한 스크립트가 이미 있는 것처럼 들리므로 최소한의 디버깅만으로 해당 스크립트를 TS에 넣고 시작할 수 있어야 합니다.
답변3
SSO 소프트웨어가 Active Directory 자격 증명을 사용하는지 여부를 지정하지 않았으므로 해결 방법은 Active Directory의 "로그온 시간" 기능을 사용하는 것입니다. 이는 사용자별 수준이지만 Powershell(이것예를 들자면). 기본적으로 SCCM 업데이트 창에서 로그온 시간을 "거부"로 설정하면 SCCM이 작업을 수행하는 동안 사용자는 클라이언트에 로그인할 수 없습니다. 로그아웃하려면 첫 번째 강제 재부팅이 필요하지만(로그온 시간 기능은 로그인한 사용자에게는 작동하지 않음) 구현하기가 쉽지 않습니다.
답변4
이것을 테스트하고 작동하는지 확인하고 싶을 수도 있습니다.
다음을 수행하기 위한 SCCM 활동 시작 시 스크립트:
- 로컬 사용자 그룹에서 NT AUTHORITY\Authenticated Users ID 제거
- 로컬 사용자 그룹에서 NT AUTHORITY\Interactive ID 제거
- 로컬 사용자 그룹에서 도메인 사용자 그룹 제거
마지막에:
제거한 보안 주체를 로컬 사용자 그룹에 다시 추가합니다.
추가/제거하는 실제 그룹은 현재 컴퓨터가 구성된 방식에 따라 달라질 수 있습니다.
조금 더 트레일러처럼 SCCM 활동을 시작하면 logoff.exe에 대한 바로가기를 All Users Start Menu\Startup 폴더(일반적으로 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp)에 복사할 수 있습니다. 이는 로그온하자마자 세션을 로그오프하는 효과를 갖습니다. 안전을 위해 시작/종료 스크립트를 사용하여 해당 바로가기를 삭제하는 것이 좋습니다. (로그온하는 동안 Shift 키를 누르면 시작 단축키를 우회할 수 있다고 생각합니다.)